蓝盟IT小贴士,来喽!
1 .逆向工程
逆向工程(RE,Reverse Engineering )对目标产品进行逆向工程和研究,演绎导出其产品的处理流程、组织结构、功能性能规格等设计要素,制作出功能相近但完全不同的产品逆向工程来源于商业和军事领域的硬件分析。 其主要目的是在不能轻易获得所需生产信息的情况下,从产品的分析中直接导出产品的设计原理。
2 .基本概念
机器代码(Machine Code ) :计算机CPU可以直接解读的数据,也称为本机代码(Native Code ),与执行平台有关。
汇编语言(Assembly Language ) :用助记符号代替机器指令的操作码,用地址符号和符号代替指令和操作数的地址,使程序员能够编写代码。 汇编语言和特定的机器语言指令集是一一对应的,不能在不同的平台之间直接移植。 主流是ARM组件和x86组件。
CPU寄存器:用于暂时保存通用寄存器、专用寄存器、控制寄存器等指令、数据、地址。 反向分析时需要注意特殊寄存器的变化。
winapi :可以在windows操作系统中使用的内核应用程序编程接口。 要在Windows平台上研究逆向工程,需要了解一些WinAPI编程。
3 .反汇编
反汇编是指将目标代码转换为汇编代码,将低位代码转换为高位代码的过程。
以最有名的HelloWorld为例,首先在Visual Studio中创建新的HelloWorld项目。
4 .常见工具
OllyDbg是一种新型的动态跟踪工具,IDA与SoftICE相结合的思想,Ring 3级调试程序非常好用,取代了SoftICE成为目前最流行的调试解密工具。 它还支持插件扩展,是目前最强大的调试工具。 执行界面如图3所示。
IDA Pro 32/64:IDA Pro简称IDA (IDA ),是世界一流的交互式反汇编工具,有两个版本。 标准支持20多种处理器,高级支持50多种处理器,执行接口如图4所示。
SoftIce:SoftIce是Compuware NuMega公司的产品,是Windows2000之前的内核级调试工具,兼容性和稳定性强,在源代码级调试各种应用程序和设备驱动程序,以及但是,目前微软的Windbg的便利性、可靠性和可用性远远超过了SoftICE,并且免费使用。 所以SoftIce没有推送之后的版本。WinDbg:WinDbg是Windows平台上功能强大的用户状态和内核状态调试工具。 比Visual Studio更轻便的调试工具。 重量轻意味着安装文件很小,但调试功能比Visual Studio强。
5 .分类识别工具
第一次获取文件时,需要确认这是什么类型的文件。 通常可以通过文件扩展名确定。 由于文件扩展名可能没有实际意义,因此无法通过扩展名来确定文件类型。
(1)文件
大多数Linux系统都有这个实用程序。 file通过检查特定字段来确定文件类型,如下所示:
(2) PE工具
PE tools用于分析Windows系统上运行的进程和可执行文件,主界面中列出了所有活动进程和每个进程调用的动态链接库,如图6所示。
文/上海蓝盟 IT外包专家
中文
电话咨询
微信咨询
公众号
